Sicurezza con endpoint multi-container con invocazione diretta

Per gli endpoint multi-container con invocazione diretta, sono disponibili più container ospitati in un'unica istanza condividendo memoria e un volume di archiviazione. È tua responsabilità utilizzare contenitori sicuri, mantenere la corretta mappatura delle richieste ai contenitori di destinazione e fornire agli utenti l'accesso corretto ai contenitori di destinazione. SageMaker L'intelligenza artificiale utilizza i ruoli IAM per fornire policy basate sull'identità IAM da utilizzare per specificare se l'accesso a una risorsa è consentito o negato a quel ruolo e in quali condizioni. Per ulteriori informazioni sui ruoli IAM, consulta Ruoli IAM nella AWS Identity and Access Management Guida per l'utente di IAM. Per informazioni sulle policy basate sull’identità, consulta Policy basate sulle identità e policy basate su risorse.

Per impostazione predefinita, un principale IAM con autorizzazioni InvokeEndpoint su un endpoint multi-container con invocazione diretta può richiamare qualsiasi container all'interno dell'endpoint con il nome dell'endpoint specificato al momento della chiamata a invoke_endpoint. Se devi limitare l'accesso invoke_endpoint a un set limitato di container all'interno di un endpoint multi-container, usa la chiave di condizione IAM sagemaker:TargetContainerHostname. Le seguenti policy mostrano come limitare le chiamate a container specifici all'interno di un endpoint.